问题描述
据客户反馈,网络中的S97交换机出现大量arp攻击告警。
查看log日志,发现大量arp miss攻击告警信息。
查看log日志,发现大量arp miss攻击告警信息。
告警信息
<S9712_1-2>dis log
Logging buffer configuration and contents : enabled
Allowed max buffer size : 1024
Actual buffer size : 512
Channel number : 4 , Channel name : logbuffer
Dropped messages : 0
Overwritten messages : 10022
Current messages : 512
Logging buffer configuration and contents : enabled
Allowed max buffer size : 1024
Actual buffer size : 512
Channel number : 4 , Channel name : logbuffer
Dropped messages : 0
Overwritten messages : 10022
Current messages : 512
Aug 23 2012 15:20:57+08:00 S9712_1-2 %%01SECE/4/ARPMISS(l)[0]:Attack occurred.(AttackType=Arp Miss Attack, SourceInterface=GigabitEthernet2/2/0/9, SourceIP=10.76.128.83, AttackPackets=42 packets per second)
Aug 23 2012 15:20:48+08:00 S9712_1-2 %%01SECE/4/ARPMISS(l)[1]:Attack occurred.(AttackType=Arp Miss Attack, SourceInterface=GigabitEthernet2/2/0/28, SourceIP=10.76.132.159, AttackPackets=70 packets per second)
Aug 23 2012 15:20:48+08:00 S9712_1-2 %%01HWCM/4/EXIT(l)[2]:Exit from configure mode.
处理过程
1 仔细观察告警日志信息,发现某些告警提示攻击源集中在某一IP上。
Aug 30 2012 09:12:39+08:00 GZN_HX_S9312_1-2 %%01SECE/4/ARPMISS(l)[32]:Attack occurred.(AttackType=Arp Miss Attack, SourceInterface=GigabitEthernet2/2/0/2, SourceIP=10.0.0.1, AttackPackets=36 packets per second)
2 为排查用户电脑是否中毒,询问用户软件使用情况。告知杀毒软件无告警。
3 针对该用户IP进行分析,发现该用户IP确实发出大量arp广播报文。
4 分析用户开机使用的软件,发现飞秋这款局域网即时通信软件在开机时会更新通讯录,发出大量arp广播报文。
5 因该问题不影响业务,只调整arp-miss 最大值来减少告警信息即可。
Quidway> system-view
[Quidway] arp-miss speed-limit source-ip maximum 50
[Quidway] arp-miss speed-limit source-ip 10.0.0.1 maximum 40
Aug 30 2012 09:12:39+08:00 GZN_HX_S9312_1-2 %%01SECE/4/ARPMISS(l)[32]:Attack occurred.(AttackType=Arp Miss Attack, SourceInterface=GigabitEthernet2/2/0/2, SourceIP=10.0.0.1, AttackPackets=36 packets per second)
2 为排查用户电脑是否中毒,询问用户软件使用情况。告知杀毒软件无告警。
3 针对该用户IP进行分析,发现该用户IP确实发出大量arp广播报文。
4 分析用户开机使用的软件,发现飞秋这款局域网即时通信软件在开机时会更新通讯录,发出大量arp广播报文。
5 因该问题不影响业务,只调整arp-miss 最大值来减少告警信息即可。
Quidway> system-view
[Quidway] arp-miss speed-limit source-ip maximum 50
[Quidway] arp-miss speed-limit source-ip 10.0.0.1 maximum 40
根因
1 设备cpu 的arp-miss cir值过低,丢失大量arp信息,导致出现误告警。
2 某些用户设备发出大量arp 请求,导致网络设备丢弃arp请求报文,出现告警。
2 某些用户设备发出大量arp 请求,导致网络设备丢弃arp请求报文,出现告警。
建议与总结
所谓arp miss攻击:当交换机需要转发三层报文时,如果目的地址是和其直连的,且在设备上没有目的地址的ARP表项,就会触发一个ARP Miss消息,由设备发送ARP请求到目的,以便学习ARP,当学习到ARP后,报文便可以直接转发到目的地址。
大量的网段扫描报文会导致大量的ARP Miss消息,导致交换机的资源浪费在处理ARP Miss消息上,影响交换机对其他业务的处理,形成扫描攻击。所以减少ARP Miss消息是解决扫描攻击的根本。
大量的网段扫描报文会导致大量的ARP Miss消息,导致交换机的资源浪费在处理ARP Miss消息上,影响交换机对其他业务的处理,形成扫描攻击。所以减少ARP Miss消息是解决扫描攻击的根本。
解决方法:配置ARP Miss限速,针对源IP进行限速,当单位时间内超过一定数量可以自动阻断攻击源。